Bulldog1靶机渗透
扫描一下内网存活主机,发现192.168.114.144这个存活主机。
进行端口扫描:23,80,8080端口均开放。
进行网页访问,暂时没有什么发现,扫一下网站的目录。
发现了很多有趣的东西,一个是admin目录,还有一个dev目录。
扫描以下admin的指纹,是基于djanjo框架写的,先不进行密码爆破,因为dev目录下存在着更吸引人的东西。
访问http://192.168.114.144/dev/shell/
目录,发现没有权限,查看网络以及截包没有发现能利用的点。
返回上一级目录即/dev
下看看有没有能利用的点。
一些可疑的地方:
<!--Need these password hashes for testing. Django's default is too complex-->
<!--We'll remove these in prod. It's not like a hacker can do anything with a hash-->
Team Lead: alan@bulldogindustries.com<br><!--6515229daf8dbdc8b89fed2e60f107433da5f2cb-->
Back-up Team Lead: william@bulldogindustries.com<br><br><!--38882f3b81f8f2bc47d9f3119155b05f954892fb-->
Front End: malik@bulldogindustries.com<br><!--c6f7e34d5d08ba4a40dd5627508ccb55b425e279-->
Front End: kevin@bulldogindustries.com<br><br><!--0e6ae9fe8af1cd4192865ac97ebf6bda414218a9-->
Back End: ashley@bulldogindustries.com<br><!--553d917a396414ab99785694afd51df3a8a8a3e0-->
Back End: nick@bulldogindustries.com<br><br><!--ddf45997a7e18a25ad5f5cf222da64814dd060d5-->
Database: sarah@bulldogindustries.com<br><!--d8b8dd5e7f000b8dea26ef8428caf38c04466b3e-->
md5进行密码破解,发现两组密码:
first:
sarah::bulldoglover
second:
nick::bulldog
直接返回进行登录,然后跳转到/dev/shell
下。
发现可以执行命令,但是存在过滤机制,但cat能执行,可以进行代码审计,但还是尽可能去实现反弹shell。
利用echo命令我们可以写文件,尝试写入shell,因为之前扫描过发现23端口是开放的,运行着tcp服务,所以利用tcp进行bash反弹。
写入后ls && bash sss
来进行执行。
成功的进行了反弹,准备提权,先到home目录下,发现两个存在用户分别为bulldogadmin及django,分别到两个用户目录下看一下,发现隐藏目录下又可以用的点。
cat一下,发现乱码。
于是使用strings命令查看可执行文件中的字符,这里我是真的想不到了,几个字符串拼接到了一起形成了密码即SUPERultimatePASSWORDyouCANTget
。
利用python进行交互,然后提权,获取到root权限。